UE-RGPD

Regolamento Generale Sulla Protezione Dei Dati

Data di entrata in vigore: 25 maggio 2018 - Da quel giorno, le organizzazioni non conformi saranno esposte al rischio di sanzioni molto pesanti.

Regolamento Generale Sulla Protezione Dei Dati (UE-RGPD)

Un piccolo ma importante aspetto del GDPR: Mantenete la conformità attraverso i drive USB crittografati Kingston

Gestite i problemi e prevenite i rischi

Diverse opzioni disponibili adatte ad ogni tipologia di utenza - personale, aziendale o amministrativa.

  • Storage dati USB con crittografia che assicura la conformità al 100%
  • Semplici da utilizzare e senza necessità di software o driver
  • Progettati per favorire una rapida ed efficiente distribuzione
EUGDPR Compliance Logos
Keep Compliant with Kingston

EU GDPR: Le principali 5 aree di cui tenere conto

  1. Crittografia - Sicurezza dei dati personali (Articolo 32, sicurezza di elaborazione dei dati)
  2. Nomina dei DPO (Data Protection Officers - responsabili protezione dati)
  3. Definizione di un Programma sulla sicurezza informatica
  4. Responsabilità documentata
  5. Consenso informato

Cosa bisogna sapere?

Queste novità interessano la mia azienda?

  • Qualsiasi azienda che tratta informazioni di cittadini dell'UE è tenuta a conformarsi
  • È importante sottolineare che queste regole si applicano tanto ai soggetti responsabili dei dati quanto ai soggetti che elaborano i dati, il che implica che i "cloud" non saranno esenti dall'applicazione del GDPR
  • Si applica a tutte le organizzazioni ─ europee e non ─ che trattano dati di cittadini europei
  • La normativa impone alle organizzazioni che trattano o detengono dati tramite cui è possibile identificare personalmente i cittadini di adottare adeguate misure di sicurezza a protezione di tali dati.

Cosa deve fare la mia azienda per essere conforme?

  • Autovalutazione - È previsto l'obbligo di nominare un Responsabile della protezione dei dati (Data Protection Officer) per le aziende con un numero di dipendenti pari o superiore a 250. Le organizzazioni devono infatti condurre analisi interne sulla gestione dei dati che consentono l'individuazione personale dei propri dipendenti e dei propri clienti
  • Mappare i dispositivi e i prodotti interni ed esterni in cui sono archiviati i dati - Registrare e richiedere l'attrezzatura utilizzata per l'azienda, da inserire nei propri regolamenti sulla sicurezza dei dati ed assicurarsi che venga applicata la crittografia dei dati. Componenti dei sistemi aziendali che includono, ma non solo: server, hard drive, SSD, drive Flash USB, computer e dispositivi mobili
  • Analisi dell'inventario - Stimare la quantità totale dei dati personali
  • Cancellazioni periodiche - Eliminare dagli archivi i dati PII (Personally Identifiable Information - Informazioni che consentono l'individuazione delle persone) non più necessari
  • Responsabili delle informazioni - Esaminano i rischi contenuti nei regolamenti e le valutazioni di impatto
  • Contratti - Pensate al futuro della vostra azienda adottando da ora i regolamenti che diverranno obbligatori dopo l'effettiva entrata in vigore prevista per maggio 2018
  • Violazione dei dati - La normativa impone l'obbligo di notifica entro 72 ore

Soluzione - Adottare politiche, standard tecnici e misure di sicurezza adeguati, come: crittografia dei dati personali, informazioni che consentono l'identificazione personale (PII) per ridurre i rischi di non conformità (Ulteriori informazioni - best practice per gli standard crittografici dei dispositivi USB)

Crittografia dati

  • Un drive USB IronKey Kingston rappresenta una delle possibili soluzioni per standardizzare i processi di conformità associati alla crittografia dati
  • Implementare “adeguate misure organizzative e tecniche finalizzate a garantire un livello di sicurezza adeguato all'entità del rischio, inclusa...la crittografia dei dati personali (Articolo 32, sicurezza di elaborazione dei dati)
  • La norma impone alle organizzazioni di proteggere con la crittografia sia i dati sensibili in transito che quelli archiviati.
  • Richiede inoltre alle organizzazioni che elaborano o detengono dati, tramite cui è possibile identificare cittadini residenti nell'UE, di adottare adeguate misure di prevenzione contro il rischio della perdita di tali dati.
  • Le organizzazioni saranno tenute a inserire questi nuovi standard di elaborazione dati all'interno dei propri contratti con fornitori di servizi terze parti.

Ambito territoriale aumentato (applicabilità extra territoriale)

Probabilmente la principale modifica nel panorama dei regolamenti in tema di riservatezza dei dati.

  • L'estesa giurisdizione del GDPR si applica a tutte le aziende che trattano dati personali di cittadini residenti nell'Unione europea, a prescindere da dove sia la sede dell'azienda.

Notifica di violazione

Le notifiche delle violazioni devono avvenire entro 72 ore dal momento in cui si è appreso della violazione, quando possibile, sebbene le notifiche non andranno effettuate alle Autorità di protezione dei dati qualora fossero a rischio i diritti o le libertà delle persone.

Nuovi diritti dei consumatori

Vantaggi per i consumatori

Consumer Benefits

  • Maggiore protezione assicurata dal GDPR e possibilità di anonimato
  • Offrire ai consumatori il potere necessario a impedire la diffusione dei propri dati quando non la desiderano
  • Nuovi e migliori diritti per i consumatori, come il “diritto all'oblio”, un diritto di “trasportabilità e trasferimento” dei dati, che prevede la possibilità di ottenere dalle società l'interruzione d'uso dei propri dati
  • Le società che non rispettano questi diritti dei consumatori saranno maggiormente soggette ad azioni giudiziarie promosse da consumatori o enti autorizzati

Consenso

Le condizioni per la prestazione del consenso sono state rafforzate e alle aziende non sarà più consentito usare lunghi moduli, incomprensibili, ricchi di formule in gergo giuridico: la richiesta per il consenso dovrà infatti essere contenuta in un modulo facilmente accessibile e comprensibile, indicante lo scopo del trattamento dei dati per cui viene richiesto il consenso.

  • Il consenso deve essere chiaro e distinguibile da altri contesti, oltre che fornito all'interno di un modulo comprensibile e facilmente accessibile, che utilizzi un linguaggio chiaro e semplice. Il ritiro del proprio consenso all’uso dei dati personali deve essere tanto semplice quanto è stato prestarlo

Diritto all'oblio

Noto anche come Cancellazione dei dati, il diritto all'oblio attribuisce al proprietario dei dati il diritto di ottenere dai Responsabili delle informazioni la cancellazione dei propri dati personali, l'interruzione dell'ulteriore diffusione, conseguendo potenzialmente l'arresto dell'elaborazione dei dati da parte di terze parti. Le condizioni per richiedere la cancellazione, come descritto dall'articolo 17, prevedono che i dati non siano più rilevanti allo scopo originale per cui erano stati raccolti, ovvero che i proprietari dei dati abbiano ritirato il consenso.

Va osservato inoltre che questo diritto obbliga i soggetti tenuti a valutare la richiesta pervenuta a confrontare i diritti del titolare dei dati con l'interesse pubblico alla disponibilità degli stessi dati.

Cosa si intende per PII - Personal Identifiable Information?

Con PII (acronimo di Personally Identifiable Information - Informazioni che consentono l'individuazione delle persone) ci si riferisce ai dati relativi ai cittadini UE che, se rivelati, potrebbero determinare danni alle persone le cui informazioni sono state compromesse. Potrebbe essere il caso di referti medici, dati biometrici, numeri di passaporto e qualsiasi informazione personale di carattere fiscale o economica, come i dati di una carta di credito. Dati che normalmente non andrebbero considerati come PII potrebbero comunque diventarlo in associazione ad altri dati.

  • I dati detenuti da un'organizzazione devono essere oggetto di una stima di rischio, che includa anche le modalità di archiviazione dei dati, i livelli di rischio cui sono esposti e l'eventuale presenza di PII. Le banche dati possono essere ospitate all'interno di database di applicazione, sistemi di file server e nei dispositivi end user.
What is Personal Identifiable Information (PII)?

Punti da evidenziare

  • Un singolo set di regole per l’intero territorio UE - si stima che l’adozione di una sola normativa di tutela dei dati applicata all’intera Eurozona sia in grado di consentire un risparmio di 2,3 miliardi di Euro all’anno
  • Le autorità pubbliche e le aziende incaricate della protezione dei dati su vasta scala procederanno a nominare un responsabile della protezione dei dati, a cui affidare la tutela dei dati personali
  • Un singolo punto di riferimento - le aziende dovranno fare riferimento a una sola autorità di supervisione (nel paese UE in cui si trova la loro sede principale)
  • Regole UE chiare per aziende non appartenenti all’Unione Europea - le aziende basate al di fuori del territorio dell’Unione Europea saranno tenute a osservare le medesime regole e vincoli di monitoraggio imposti alle aziende UE quando offrono beni o servizi all’interno del territorio dell’Unione Europea
  • Norme che facilitano l’innovazione - una garanzia che la protezione dei dati sarà integrata in prodotti e servizi a partire dalle fasi preliminari dello sviluppo (protezione dei dati integrata e standard)
  • Tecniche che favoriscono la privacy, come la pseudonimizzazione (in cui i campi in grado di rivelare l’identità personale degli utenti all’interno di un campo dati sono sostituiti con uno o più dati identificativi artificiali), e la crittografia (quando i dati vengono codificati in maniera tale che possano essere letti solo da soggetti autorizzati)
  • Valutazione dell’impatto - le aziende saranno tenute a effettuare valutazioni dell’impatto quando l’elaborazione dei dati può comportare elevati rischi per i diritti e la libertà dei soggetti
  • Archiviazione delle registrazioni - Le PMI non sono tenute a tenere un archivio delle attività di elaborazione a meno che tali attività non siano irregolari o siano esposte al rischio di violazione dei diritti e delle libertà degli utenti proprietari di tali dati

Ulteriori informazioni

Date principali relative al General Data Protection Regulation (GDPR) dell’UE

  • 31 gennaio 2018 PCI-DSS v3.2 – Requisiti dell'autenticazione multifattore (8.3.1) - Interessa tutte le aziende su scala globale
  • sabato 30 giugno 2018 PCI-DSS v3.2 – Requisiti di aggiornamento dello standard di crittografia SSL (2.2.3, 2.3, 4.1) - Interessa tutte le aziende su scala globale
  • Aprile 2018 PSD2 – Direttiva sui servizi di pagamento - Interessa tutte le aziende europee
  • Maggio 2018 GDPR – Regolamento generale sulla protezione dei dati - Interessa tutte le aziende su scala globale